PSD2 vs GDPR: Cómo manejar las Regulaciones Conflictivas

Share This:

La Segunda Directiva de Servicios de Pago, (en inglés: “Second Payment Services Directive – PSD2”), y el Reglamento General de Protección de Datos, (en inglés: “General Data Protection Regulation – GDPR”),son leyes para fortalecer y unificar la protección de datos de todos los ciudadanos de la UE.

Estas leyes cubren áreas regulatorias totalmente diferentes y su complejidad crea confusión entre los bancos y otras entidades aseguradas sobre cuáles son sus obligaciones. Es necesario determinar qué procedimientos y políticas implementar para garantizar el cumplimiento.

 PSD2

La fecha de implementación de PSD2 fue el 12 de enero de 2018. El principal cambio fue que los bancos permitieron el acceso de los proveedores de terceros a la información de las cuentas de los clientes a través de las Interfaces de Programas de Aplicaciones (del inglés, “Application Program Interface”, APIs). Esto representó el comienzo de la banca abierta, en la que se puede desarrollar toda una nueva gama de productos y servicios financieros sobre la infraestructura y los datos bancarios existentes.

GDPR

Los negocios en Europa necesitan el desarrollo y la implementación de los procedimientos adecuados de gestión de la privacidad de los datos. Estas normas reflejan la forma en la que se recopila, comparte, administra y elimina la información privada. Cada etapa del ciclo de vida de los datos requiere estrategias específicas de uso aceptable de los datos. Por ejemplo, ¿Qué datos se pueden almacenar o archivar? ¿Quién puede usar esos datos? ¿Cuándo se eliminan los datos?

Las dos reglas parecen filosóficamente opuestas entre sí; PSD2 trata de hacer que los datos de una persona sean más accesibles, mientras que GDPR trata de controlar el acceso a esos datos. Por todo ello, ¿Cómo pueden las organizaciones crear procedimientos de Información de Identificación Personal (del inglés, “Personally Identifiable Information”, PII) que satisfagan ambas reglas?

Un informe técnico sobre GDPR indica, “por primera vez, la información sensible, privada y personalmente identificable de un individuo se intercambiará fuera del sistema de pagos tradicional, lo que requerirá un replanteamiento fundamental de la infraestructura y la gobernanza que debe existir».

Consentimiento

Una característica común entre ambos reglamentos es el interés en el consentimiento individual. Si una persona le pide que comparta su PII con un tercero, PSD2 requiere que comparta esa información. Si una persona le pide que borre su información PII, GDPR requiere que borre esa información. En ambos casos, el consentimiento dicta sus acciones.

Pero, ¿qué sucede si un consumidor le pide que comparta su PII con un (tercero) banco, y luego le pide que elimine esa información? Es evidente que puede pedir a un tercero que elimine los datos, pero ¿cómo puede asegurarse de que realmente se eliminen?, y en caso de no ser así, ¿cuáles serían sus responsabilidades?

Desafortunadamente, no hay mención de PSD2 en el GDPR ni viceversa. El PSD2 incluye una sección sobre protección de datos, pero menciona leyes que han quedado obsoletas.

Una consideración a tener en cuenta son las posibles multas por incumplimiento. El GDPR es un Reglamento y los fallos tienen graves consecuencias financieras, hasta 20 millones de euros o el 4 % del volumen de negocios mundial. Dado que PSD2 es una Directiva, la definición de las sanciones le corresponde a los Estados miembros, por lo que es posible que ni siquiera haya multas.

Un banco que no esté 100% seguro de la procedencia de un tercer proveedor (del inglés, “Third party provider”, TPP)que solicite datos de clientes, tendrá que decidir entre rechazar la solicitud (y no cumplir con el PSD2) o aceptarla y, en caso de que se produzca un incumplimiento de los datos, ser responsable de una sanción de hasta el 4% del volumen de negocios global. Tal y como están las cosas, el resultado sería presumiblemente arriesgarse a no cumplir con la PSD2 y rechazar la solicitud.

Independientemente del escenario específico, la creación de sistemas y procesos que protejan el PII y que sean adaptables es una clave para la implementación exitosa tanto del GDPR como del PSD2. A continuación se presenta un recordatorio de las consideraciones del GDPR:

  • Prepárese para las filtraciones de datos
    Cree reglas y procesos, de modo que si esto sucede usted sepa qué hacer y reduzca el riesgo.
  • Construya una estrategia de seguridad de datos
    Desarrolle políticas, impleméntelas, capacítelas, supervíselas y evalúelas.
  • Cree un diseño de privacidad
    Tenga en cuenta la privacidad desde el comienzo de cualquier nuevo proyecto.
  • Analice su marco de procesamiento de datos personales
    ¿El consentimiento es libre, específico e informado? ¿O tiene usted un interés legítimo en el tratamiento de datos personales que prevalece sobre el derecho a la privacidad?
  • Tener avisos de privacidad claros y comprensibles
    Esté preparado para las solicitudes de los ciudadanos.
  • Los ciudadanos tienen derecho a eliminar o trasladar sus datos
    Revise sus políticas, procedimientos y contratos de terceros.
  • Vea transferencias de datos transfronterizas
    La transferencia de datos privados a países que no respetan las mismas protecciones de datos puede dar lugar a importantes sanciones.

Si todas las empresas toman estas medidas y existe una comunicación efectiva entre las partes, el cumplimiento está garantizado para todos.

Diseño del consentimiento

El conocimiento de que habrá solicitudes de TPP necesita ser incluido en cualquier diseño de privacidad. Una consideración especial para el consentimiento es necesaria, ya que compartir la PII sin el consentimiento adecuado es una clara violación del GDPR.

El consentimiento es un área en la que la gestión eficaz de la identidad es crucial. Sólo a través de sistemas robustos que ofrezcan un marco de confianza en torno al PSD2 podrá cumplir sus promesas de banca abierta.

La buena noticia es que la gestión de identidades está avanzando para cumplir con los desafíos de las regulaciones. Una biometría más segura y fácil de usar está sustituyendo a las combinaciones de nombre de usuario y contraseña poco fiables. Se están desarrollando análisis de datos avanzados para prevenir mejor el fraude y las representaciones de identidad falsa. Las nuevas fuentes de identidad se están combinando con los conjuntos de datos tradicionales para verificar y autenticar mejor a las personas.

Con dos importantes iniciativas de cumplimiento, los equipos de cumplimiento de la UE tienen un poderoso incentivo para crear un nuevo paradigma de tratamiento de datos. Por un lado, necesitan cumplir con el GDPR para evitar fuertes multas. Por otro lado, el PSD2 tiene el potencial de crear nuevas oportunidades bancarias. Combinar estos requisitos con un sistema que ofrezca seguridad de datos y acceso abierto controlado es una victoria para los consumidores, reguladores y empresas que desean optimizar sus operaciones en Europa.

Contacta con nosotros

Christoph Sauerwein

Chief Revenue Officer

Saioa Echebarria

CEO

Entradas relacionadas